Slide 1

Slide 1 text

re:Inforce 2023のアップデートを得た 現代のAWSセキュリティ運⽤⽅法 (GuardDuty/Detective編) AWS re:Inforce 2023 re:Cap Seminar - 夜の部 1

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021 APN Ambassador 2023 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 4

Slide 4 text

4 re:Inforce 2023お疲れ様でした ちょー楽しかったです

Slide 5

Slide 5 text

5 re:Inforce 2023のアップデート この2つを使った運⽤⽅法の紹介をします https://dev.classmethod.jp/articles/guardduty-summry- dashboard/ https://dev.classmethod.jp/articles/detective-support- finding-group-visualization/

Slide 6

Slide 6 text

6 GuardDutyのサマリーダッシュボード

Slide 7

Slide 7 text

7 Detectiveの検出結果グループ

Slide 8

Slide 8 text

8 アジェンダ 1. 理想のセキュリティ運⽤ 2. 想定環境 3. GuardDutyのサマリーダッシュボード活⽤ 4. Detectiveの検出結果グループ活⽤ 5. さいごに

Slide 9

Slide 9 text

9 1. 理想のセキュリティ運⽤

Slide 10

Slide 10 text

10 理想のGuardDutyの状態

Slide 11

Slide 11 text

11 理想のGuardDutyの状態

Slide 12

Slide 12 text

12 理想の状態への道筋 AWS環境の堅牢化ができていれば、W-Aに従い 適切にセキュリティ運⽤されていればめったに検 知は来ない 検知が出るなら、全件潰しこみましょう

Slide 13

Slide 13 text

13 2. 想定環境

Slide 14

Slide 14 text

14 想定環境 今回紹介する運⽤のメインの想定環境 • AWSアカウントが50とか100とかたくさんある環境 • 検知が⼤量に出ているけど放置している環境 ここでサマリーダッシュボードが効果を発揮する

Slide 15

Slide 15 text

15 もしかして AWSアカウントがたくさんあって、全体で GuardDutyを有効化してないですか︖ 今すぐ全体で有効化しましょう

Slide 16

Slide 16 text

16 対応の進め⽅ AWSアカウントはたくさんあって、GuardDutyは有 効化しているけど、ちゃんと⾒てない場合 これから説明する⼿順で運⽤を始めてみてね ※検出結果の個別の対応⽅法は割愛します

Slide 17

Slide 17 text

17 3. GuardDutyのサマリーダッシュボード活⽤

Slide 18

Slide 18 text

18 ダッシュボードのウィジェットの種類 • 概要 • 重⼤度別の検出結果 • 最も⼀般的な検出結果タイプ • 最も多い検出結果を含むリソース • 最も多く検出したアカウント • 最も低頻度の検出結果 それぞれ活⽤のポイントがある

Slide 19

Slide 19 text

19 概要 • まずは⾼の検知があるか確認する • ⾼のイベントは特に危険なものが多い、実際にやら れている可能性が⾼い • AWSアカウントの重要度をベースにチェックしてい こう

Slide 20

Slide 20 text

20 最も低頻度の検出結果 特にこれは要チェック 定常的に検知がある環境 ではノイズを減らしてよ り重要なものを確認でき る

Slide 21

Slide 21 text

21 最も⼀般的な検出結果タイプ 特に多いタイプのグラフ おそらく問題のある設定 やアーキテクチャにより 検知されている 例えばSecurity Groupで SSHを開放している 堅牢化する必要がある項 ⽬を⾒つけられる

Slide 22

Slide 22 text

22 最も多い検出結果を含むリソース これらのリソースは格好の的 重要なリソースであれば即対応

Slide 23

Slide 23 text

23 4. Detectiveの検出結果グループ活⽤

Slide 24

Slide 24 text

24 GuardDutyとDetectiveの違い Detectiveでは複数の検知を繋げて確認する

Slide 25

Slide 25 text

25 検出結果グループを使った調査 繋げて攻撃の流れがMITRE ATT&CKの戦術にマッピングして 表⽰される ⾼のイベントがあったら、特にグループが作られていないか確 認する 例えばEC2に対するポートプローブから始まって、SSHブルー トフォース成功、Outsideでクレデンシャル漏洩 S3漏洩などのシナリオで簡単に流れを確認しRoot Causeが 確認できる

Slide 26

Slide 26 text

26 5.さいごに

Slide 27

Slide 27 text

27 ⼀通り調査と対応が終わったら まず検知が上がっているところから暫定対処していく 終わったらSecurity Hubによる堅牢化を全体で⾏いつ つ、堅牢化するための内容を設計指針や共通テンプレー トなどに反映・周知していく それでも起きるときは起きるので通知を受け取り即時対 応できるようにして、セキュリティチームはその運⽤に 注⼒する 仕組み化して堅牢なAWS運⽤をしよう

Slide 28

Slide 28 text

28